Imagen ofrecida por la APEP

Este post también se podría titular: ¿Cuándo es obligado nombrar un Delegado de Protección de Datos?

Ya que en realidad esa es la cuestión que muchas empresas o entidades que tratan datos personales se preguntan, pero algunas no, y otras tantas lo ignoran.

Una reflexión que se hace siempre en el ámbito de un proyecto de adecuación normativa en materia de protección de datos, RGPD y LOPDGDD, siendo fácil de responder y justificar en muchos casos (en la mayoría) pero generando algunas dudas en otros que la propia consultoría aclarará y justificará.

Pero claro, esta última aseveración vendrá determinado por el grado de conocimiento de la normativa y la capacidad de interpretar que tenga el consultor o equipo de consultoría que realice el proyecto.

Pues sucede, por ejemplo que podrás ser sancionado con 10.000€ como esta empresa.

Quizás en este caso no hubo proyecto de adecuación o se hizo de manera interna pero sin tener el preciso conocimiento ya que claramente se trata de una entidad que por su actividad de juegos online, como indica en su página web, cumple de manera evidente con 2 de los requisitos que la normativa establece:

  • Tanto por el tipo de tratamiento, pues la norma dice: Si existe una observación habitual y sistemática de interesados a gran escala.
  • Como por ser una entidad claramente identificada como obligada: Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

Por tanto se podría decir aquello de: “no hay más preguntas su señoría”, pues claramente se trata de una  infracción del art. 37 del RGPD (“El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control”) en relación con el art. 34 de la LOPDGDD, tal  como veremos a continuación, y que le ha supuesto la sanción de 10.000€ que puedes leer en este enlace a la resolución

De igual manera, la Agencia Española de Protección de Datos (AEPD) le insta a que en el plazo de 1 mes le informe sobre el nombramiento del Delegado de Protección de Datos.

¿Cuál era la actividad de la empresa sancionada y que motivó la denuncia?

El simple motivo fue que el denunciante dice que no se atendió su derecho de supresión en el plazo legalmente establecido (si bien la Agencia no lo valora ya que no aportó evidencias de dicho ejercicio), y que además, no tiene nombrado un DPD al que dirigir las reclamaciones.

La AEPD comprobó que en su listado de DPD no constaba como registrado pese a que en la Política de Privacidad de su página web si se mencionada al DPD y dada su actividad la identificaba claramente como entidad sujeta a obligación.

El reclamado no alegó y por tanto la Agencia dicta resolución sancionadora y fija el importe de la sanción en base a los siguientes criterios agravantes:

  • Continúa sin comunicar a la AEPD la designación de DPD.
  • Su conducta pone de manifiesto una grave falta de diligencia.
  • El número de interesados afectados, ya que la reclamada realiza un tratamiento de datos personales a gran escala por el número de personas que pueden acceder a sus productos.

¿Cuándo es obligado nombrar un Delegado de Protección de Datos?

Para ello puedes consultar el propio canal de la Agencia, en donde responde hasta a 17 cuestiones relativas al Delegado de Protección de Datos o seguir leyendo las referencias concretas en la normativa vigente.

Una vez mencionados los motivos por los que la entidad sancionada debió declarar un DPD ante la Agencia, vamos a revisar en detalle las dos referencias normativas que el RGPD y la LOPDGDD contemplan y que debemos evaluar para determinar o no su nombramiento, si bien conviene recordar que también puede hacerse de manera voluntaria.

En definitiva, estas 2 cuestiones a evaluar vienen determinadas en base a los tratamientos que realicen o bien por tratarse entidades de actividades concretas, que determinan las entidades obligadas, es decir:

a.- Conforme al artículo 37.1 del RGPD, donde se recogen los supuestos en los que es obligada su designación y que son:

  • Si se trata de una autoridad u organismo público.
  • Si existe una observación habitual y sistemática de interesados a gran escala. Es decir, las actividades principales consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran es observación a gran escala.
  • Cuando existan tratamientos a gran escala de categorías especiales de datos (art. 9 RGPD) y de datos relativos a condenas e infracciones penales (art. 10 RGPD)

b.- Las entidades señaladas en el Artículo 34 de la LOPDGDD, Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, es decir:

  1. Los colegios profesionales y sus consejos generales.
  2. Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  4. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  5. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  6. Los establecimientos financieros de crédito.
  7. Las entidades aseguradoras y reaseguradoras.
  8. Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  9. Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
    Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  13. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  15. Las empresas de seguridad privada.
  16. Las federaciones deportivas cuando traten datos de menores de edad.

Conclusión:

Sucede que te enfrentas a una sanción, como en este caso, en la que aunque la empresa sabía que debía señalarse en su página web que contaba con la figura del DPD, estableciendo un canal de contacto, no procedió a su notificación ante el registro de la AEPD.